Jaunumi Ziņas
EDPB

Pieņemts 2022.gada 12.jūlijā

Eiropas Datu aizsardzības kolēģija ir pieņēmusi šādu paziņojumu:

Kopš 2022. gada 24. februāra Krievijas Federācija (Krievija) atrodas de facto karā pret Ukrainu. Līdz ar ko 2022. gada 16. martā tā tika izslēgta no Eiropas Padomes. Tāpēc Krievija vairs nav līgumslēdzēja puse Eiropas Padomes ietvaros noslēgtajām konvencijām un protokoliem, kurās dalība atvērta tikai tās dalībvalstīm. Krievija arī pārtrauks būt par Eiropas Cilvēktiesību konvencijas Augsto līgumslēdzēja pusi no 2022. gada 16. septembra.

Lai gan Eiropas Padomes Ministru komiteja 2022. gada 23. martā pieņemtajā lēmumā norādīja, ka Krievija arī turpmāk būs līgumslēdzēja puse Eiropas Padomes ietvaros noslēgtajām konvencijām un protokoliem, kuriem tā ir paudusi piekrišanu uzņemties saistības un kuriem var pievienoties trešās valstis, piemēram, 108. konvencija, vēl ir jānosaka kārtība, kādā Krievija piedalās šajos instrumentos [1]. Šādas izmaiņas varētu būtiski ietekmēt datu subjektu aizsardzības līmeni.

Eiropas Datu aizsardzības kolēģija (EDAK) atgādina, ka personas datu nosūtīšana uz trešo valsti, ja Eiropas Komisija nav pieņēmusi lēmumu par aizsardzības līmeņa pietiekamību saskaņā ar Datu regulas 45. pantu, ir iespējama tikai tad, ja pārzinis vai apstrādātājs ir sniedzis atbilstošas garantijas, un ar nosacījumu, ka datu subjektiem ir pieejamas īstenojamas tiesības un efektīvi tiesiskās aizsardzības līdzekļi (Datu regulas 46. pants). Ja nav pieņemts lēmums par aizsardzības līmeņa pietiekamību saskaņā ar Datu regulas 45. panta 3. punktu vai nav paredzētas atbilstošas garantijas saskaņā ar Datu regulas 46. pantu, personas datu nosūtīšana vai vairākkārtēja nosūtīšana uz trešo valsti īpašos apstākļos notiek tikai saskaņā ar vienu no Datu regulas 49. pantā izklāstītajiem nosacījumiem (“atkāpes konkrētās situācijās”)[2].

Krievija negūst labumu no Eiropas Komisijas atzinuma par aizsardzības līmeņa pietiekamību saskaņā ar Datu regulas 45. pantu. Tāpēc personas datu nosūtīšana uz Krieviju ir jāveic, izmantojot kādu no citiem Datu regulas V nodaļā paredzētajiem nosūtīšanas instrumentiem. Ņemot to vērā EDAK norāda, ka gadījumos, kad personas dati tiek nosūtīti Krievijai, datu eksportētājiem saskaņā ar Datu regulu būtu jāizvērtē un jānosaka nosūtīšanas tiesiskais pamats un izmantojamais instruments starp tiem, kas paredzēti Datu regulas V nodaļā (piemēram, līguma standartklauzulas vai saistoši uzņēmuma noteikumi), lai nodrošinātu atbilstošu aizsardzības pasākumu piemērošanu.

Turklāt EDAK atgādina, ka saskaņā ar Eiropas Savienības Tiesas spriedumu Schrems II[3] un saskaņā ar EDAK ieteikumiem par papildu pasākumiem[4], datu eksportētājiem būtu jānovērtē, vai attiecīgās nosūtīšanas kontekstā Krievijā spēkā esošie tiesību akti un/vai prakse (jo īpaši attiecībā uz Krievijas publisko iestāžu piekļuvi personas datiem, jo īpaši krimināltiesiskos un valsts drošības nolūkos) var ietekmēt identificētajos nosūtīšanas instrumentos paredzēto atbilstošo aizsardzības pasākumu efektivitāti. Šādā gadījumā datu nosūtītājiem būtu jāidentificē un jāpieņem papildu pasākumi, kas ir nepieciešami, lai nodrošinātu, ka datu subjektiem tiek nodrošināts aizsardzības līmenis, kas būtībā ir līdzvērtīgs tam, ko garantē EEZ[5]. Ja šāds novērtējums ļauj secināt, ka atbilstība netiek nodrošināta (vai vairs nav nodrošināta) un ka nav iespējams noteikt tādus papildu pasākumus, kas atbilstību nodrošinātu, datu nosūtītājiem ir jāaptur datu nosūtīšana.

Vairākām EEZ dalībvalstīm ir ciešas ekonomiskās un vēsturiskās saites ar Krieviju, tāpēc starp šīm valstīm un Krieviju notiek bieža personas datu apmaiņa. Dažas valsts datu aizsardzības uzraudzības iestādes jau izskata datu nosūtīšanas uz Krieviju likumību, tostarp saistībā ar notiekošām izmeklēšanām. Uzraudzības iestādes turpinās uzraudzīt izmaiņas tiesību aktos un citas būtiskas norises Krievijā, kas varētu ietekmēt datu nosūtīšanu. Tās izskatīs lietas, kas saistītas ar datu nosūtīšanu uz Krieviju, ņemot vērā pieaugošo ietekmi uz datu subjektu tiesībām un brīvībām, kas var rasties šādu datu apstrādes darbību rezultātā, un vajadzības gadījumā koordinēs darbu EDAK ietvaros.

Eiropas Datu aizsardzības kolēģijas vārdā —

Priekšsēdētāja Andrea Jelinek

 

Paziņojums oriģinālvalodā pieejams: https://edpb.europa.eu/system/files/2022-07/edpb_statement_20220712_transferstorussia_en.pdf 

 


[1] Saskaņā ar Rezolūciju CM/Res(2022)3 par Krievijas dalības pārtraukšanas juridiskajām un finansiālajām sekām Eiropas Padomē, kārtību, kādā Krievija piedalās šajos instrumentos, nosaka atsevišķi katram no tiem Ministru komiteja vai, attiecīgā gadījumā, Dalībvalstis.

[2] Sk. Pamatnostādnes 2/2018 par atkāpēm no 49. panta saskaņā ar Regulu 2016/679, pieejamas tīmekļa vietnē https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22018-derogations-article-49-under-regulation_en.

[3]EST 2020. gada16. jūlija spriedums lietā Facebook Ireland un Schrems, C-311/18, ECLI:EU:C:2020:559.

[4] EDAK Ieteikumi Nr. 01/2020 par pasākumiem, kas papildina nosūtīšanas rīkus, lai nodrošinātu atbilstību ES personas datu aizsardzības līmenim, galīgā redakcija, kas pieņemta 2021. gada 18. jūnijā https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en.

[5] Eiropas Ekonomikas zonā, kas saīsināta kā EEZ, ir Eiropas Savienības (ES) dalībvalstis un trīs Eiropas Brīvās tirdzniecības asociācijas (EBTA) valstis (Islande, Lihtenšteina un Norvēģija); izņemot Šveici).